CN111970175B - 一种入网账户恶意共享检测的方法和装置 - Google Patents
一种入网账户恶意共享检测的方法和装置 Download PDFInfo
- Publication number
- CN111970175B CN111970175B CN202010874043.8A CN202010874043A CN111970175B CN 111970175 B CN111970175 B CN 111970175B CN 202010874043 A CN202010874043 A CN 202010874043A CN 111970175 B CN111970175 B CN 111970175B
- Authority
- CN
- China
- Prior art keywords
- terminal devices
- preset time
- time window
- access account
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信领域,特别是涉及一种入网账户恶意共享检测的方法和装置。主要包括:获取需检测的入网账号接入网络的话单;解析话单中每一个通过该入网账户接入网络的流量项目;根据流量项目的连续性计算预设时间窗内的终端设备数;根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为。本发明可以通过入网账户话单中流量项目的连续性对终端设备数进行统计,实现不同场景下恶意共享账户的检测。
Description
【技术领域】
本发明涉及通信领域,特别是涉及一种入网账户恶意共享检测的方法和装置。
【背景技术】
运营商在分配宽带入网账号时,原则上每个入网账号仅供一个用户使用。但是,在实际宽带账号使用中,存在通过非法手段私自销售宽带供多个用户使用的网络账户恶意共享情况,例如黑网吧,群租房等。违法二次销售网络账户进行恶意共享,既损害了运营商的利益,又影响了正常宽带账户用户的使用体验。
为了能够检测存在恶意共享的异常入网账号,可以对宽带话单中的用户设备标识进行识别,统计使用同一入网账户的设备数量,若某个入网账户长期存在不合理数量的设备通过同一入网账户进行网络连接的情况,则可判断该账户存在恶意共享情况。但是,在实际检测中,某些话单没有用于用户设备标识的字段,无法对不同的用户设备进行识别,因此也无法准备识别通过同一宽带账号的设备数量,无法判断入网账户是否存在恶意共享的情况。
鉴于此,如何克服该现有技术所存在的缺陷,解决某些实际场景下恶意共享无法检测的现象,是本技术领域待解决的问题。
【发明内容】
针对现有技术的以上缺陷或改进需求,本发明解决了话单中没有用户设备标识的情况下无法检测入网账户恶意共享的问题。
本发明实施例采用如下技术方案:
第一方面,本发明提供了一种入网账户恶意共享检测的方法,具体为:获取需检测的入网账号接入网络的话单;解析话单中每一个通过该入网账户接入网络的流量项目;根据流量项目的连续性计算预设时间窗内的终端设备数;根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为。
优选的,根据流量项目的连续性计算预设时间窗内的终端设备数,包括:比较话单中的流量项目是否相同,相同的流量项目为连续的流量项目;将话单中每一组连续的流量项目视为一个终端设备产生的流量项目;统计预设时间窗内连续的流量项目的组数,作为预设时间窗内的终端设备数。
优选的,比较话单中的流量项目是否相同,包括:依次比较话单中任两项时间相邻的流量项目是否相同;若两项时间相邻的流量项目相同,对两项流量项目标记相同的标签;若两项时间相邻的流量项目不相同,对两项流量项目标记不同的标签;完成话单中所有流量项目比较后,标记相同标签的所有流量项目为一组相同的流量项目。
优选的,计算预设时间窗内的终端设备数,还包括:将预设时间窗分割为多个预设时间段,分别计算每个预设时间段内的终端设备数,以所有时间段内出现次数最多的终端设备数最多的作为该预设时间窗内的终端设备数。
优选的,计算预设时间窗内的终端设备数,还包括:统计预设时间窗内话单的UA字段或流量项目中不同设备的数量作为对照终端设备数,若对照终端设备数大于计算所得的预设时间窗内的终端设备数,以对照终端设备数作为该预设时间窗的终端设备数。
优选的,根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,包括:比较预设时间窗内的终端设备数和预设正常设备数阈值,若终端设备数大于预设正常设备数阈值,判断该入网账户存在恶意共享行为。
优选的,根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,还包括:获取至少两个预设时间窗的终端设备数;计算终端设备数不小于预设设备数上限的预设时间窗的个数,若预设时间窗的个数不小于预设时间窗数量阈值,判断该入网账户存在恶意共享行为。
优选的,根据时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,还包括:计算预设检测时间范围内每个预设时间窗的终端设备数,获取预设时间窗的终端设备数的最大值和最小值;若终端设备数的最大值和最小值之差不小于预设设备数之差阈值,且终端设备数最大值不小于预设设备数上限,判断该入网账户存在恶意共享行为。
优选的,根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,还包括:计算预设时间范围内所有终端设备数不小于预设正常设备数阈值的预设时间窗的总时间,若总时间超过预设总时间阈值,判断该入网账户存在恶意共享行为。
另一方面,本发明提供了一种入网账户恶意共享检测的装置,具体为:包括至少一个处理器和存储器,至少一个处理器和存储器之间通过数据总线连接,存储器存储能被至少一个处理器执行的指令,指令在被处理器执行后,用于完成第一方面中的入网账户恶意共享检测的方法。
与现有技术相比,本发明实施例的有益效果在于:通过入网账户话单中流量项目的连续性对终端设备数进行统计,实现不同场景下恶意共享账户的检测。在本实施例的优选方案中,还通过UA数和IP地址等对终端设备数进行进一步的确认,以及通过多个预设时间窗共同检测,提高恶意共享检测的准确性。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种入网账户恶意共享检测的方法流程图;
图2为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图3为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图4为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图5为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图6为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图7为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图8为本发明实施例提供的另一种入网账户恶意共享检测的方法流程图;
图9为本发明实施例提供的另一种入网账户恶意共享检测的方法流程图;
图10为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图11为本发明实施例进行入网账户恶意共享检测时使用的话单数据示意图;
图12为本发明实施例进行入网账户恶意共享检测时使用的设备数图表示意图;
图13为本发明实施例提供的一种入网账户恶意共享检测的装置结构示意图。
【具体实施方式】
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明是一种特定功能系统的体系结构,因此在具体实施例中主要说明各结构模组的功能逻辑关系,并不对具体软件和硬件实施方式做限定。
此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。下面就参考附图和实施例结合来详细说明本发明。
实施例1:
为了能够检测多个宽带用户使用同一入网账号接入网络的恶意共享行为,需要对每个通过每个入网账户接入网络的移动中的数量进行统计。现有的检测方案中一般通过统计用户流量中的mac地址或者uuid等一些能代表设备的标识符的特征来判定有多少种设备,也有通过http get话单中User-Agent字段等带有设备符号的字段进行判断,但是,对于不不包含上述字段的话单,就无法统计设备数量。因此,本实施例提供了一种能够计算出接入宽带设备数的方法,使用话单中必然存在的流量项目字段作为判断依据对设备数量进行统计。本实施例提供的检测方法中,终端设备包括但不限于手机、平板、智能电视、PC等能通过宽带入网账户接入网络的设备。
如图1所示,本发明实施例提供的入网账户恶意共享检测的方法具体步骤如下:
步骤101:获取需检测的入网账号接入网络的话单。
为了对连接需检测的入网账号的设备数进行统计,需要先获取入网账户的话单作为检测的数据来源。在实际使用场景中,可以通过在网络出口处抓数据流量包的方式生成该宽带的http_get话单显示流量信息,也可以通过其它方式获取。生成的话单中由数据流量包提取主要的信息如图2所示,表头代表的是流量的时间、宽带账号、访问的域名、流量项目名称和用户设备标识(User-Agent,简写为:UA)。其中,同一宽带账户在话单中显示为同一源IP。
在不同的使用场景中,话单可获取的具体数据不同。如图3所示,在某些具体场景中,话单数据包含设备的mac地址或者uuid等一些能代表设备的标识符,可以根据标识符的特征来判定有多少种设备。如图4,在某些具体场景中,UA字段包含设备型号数据,可以通过正则表达式提取设备型号计算设备数。但是,在如图5所示的话单中,不包含能够直接作为设备标识符的字段,无法直接获取设备数,则需要使用如步骤102至步骤103中的方法,对话单中必然存在的流量项目字段的特征进行分析,获取通过同一入网账户接入网络的终端设备数,从而判断入网账户是否存在恶意共享行为。
步骤102:解析话单中每一个通过该入网账户接入网络的流量项目。
终端设备发出的每个访问网络主机的操作都会产生网络流量,每个产生流量的操作都会根据时间顺序反应在经步骤101获取到的入网账号的http_get话单中,每个流量项目表示终端设备通过该入网账号的流量所访问的网络主机地址,对应话单中的host字段。可以通过解析话单中的host字段获取一段时间内通过该入网账户接入网络的所有流量项目,通过话单中的host字段可以获取到终端设备每次连接网络产生流量时访问的流量项目。由于流量项目和终端设备的操作相对应,因此可以通过流量项目的特性对每个流量项目对应的终端设备的特性进行分析。
步骤103:根据流量项目的连续性计算预设时间窗内的终端设备数。
终端设备的用户在正常使用网络时的操作通常会有一定的先后顺序,如图6中host字段的内容。通过时间的顺序可以看出,由于话单中相邻两项的时间间隔很短,在本实施例的一般使用场景中,同一个终端设备接入网络所进行的操作在短时间内必然有逻辑连续性,在话单的host字段中会显示为至少两个连续相同的流量项目,如查看同一网站时多次的刷新操作、使用即时通讯软件时多次的消息收发操作、观看视频或听音乐时多次的下载操作等。即使出现合理的不同操作,如查看网页和输入切换、观看视频和使用即时通讯软件切换等,也不会在短时间内频繁切换,例如在10秒的时间间隔之内反复切换网页和视频。相反的,若多个终端设备通过同一账号接入网络,则如图7所示,在同一个短时间段内产生交替出现的流量。因此,可以根据话单中流量项目的连续性对某个时间段内产生流量的终端设备数量进行计算。
在具体实施场景中,如图8所示,可以通过以下步骤根据流量项目的连续性计算预设时间窗内的终端设备数。
步骤201:比较话单中的流量项目是否相同,相同的流量项目为连续的流量项目。
步骤202:将话单中每一组连续的流量项目视为一个终端设备产生的流量项目。
步骤203:统计预设时间窗内连续的流量项目的组数,作为预设时间窗内的终端设备数。
步骤201-步骤203中,根据话单中流量项目和终端设备的对应关系,通过统计话单中某个预设时间窗内连续流量项目的组数,以获得该预设时间窗内的终端设备数。
进一步的,为了便于比较话单中的流量项目是否相同,如图9所示,可以通过向流量项目打标签的方式简化计算过程:
步骤301:依次比较话单中任两项时间相邻的流量项目是否相同。
步骤302:若两项流量项目相同,对两项流量项目标记相同的标签。
步骤303:若两项流量项目不相同,对两项流量项目标记不同的标签。
步骤304:完成话单中所有流量项目比较后,标记相同标签的所有流量项目为一组相同或相关的流量项目。
通过步骤301-步骤304,可以简单准备的对话单中连续的流量项目和不连续的流量项目进行统计。
在本实施例的某些具体实施场景中,如图10所示,在较短时间内出现了两种流量项目交叉的状态,该情况可以认为是两个终端设备同时使用产生的现象,可以为将每个流量项目计算为一个终端设备,而不计算为4个不连续的流量项目。当多个流量项目产生交叉时,也可以按照实际情况进行分析,判断流量项目是否逻辑上连续,根据流量项目逻辑上的连续性具体计算对应的终端设备数量。
在本实施例的具体使用场景中,因为网络流量和每个人的使用习惯不同,正常用户也可能拥有不止一部联网设备,例如同时使用手机、电脑和电视接入网络,单个终端设备也可能会因为后台收发消息、网址跳转等原因出现流量项目不连续的情况,该情况下,由于正常用户接入网络的设备数量有限,不会被认定为恶意共享。为了尽可能避免偶然的不连续情况,提高终端设备数计算的准确度,在进行统计时可以将预设时间窗分割为多个预设时间段,分别计算每个预设时间段内的终端设备数,以所有时间段内出现次数最多的终端设备数最多的作为该预设时间窗内的终端设备数。例如:将1分钟的预设时间窗划分为10秒钟的6个时间段,按照步骤201-步骤203或步骤301-步骤304计算获得各时间段的终端设备数量分别为:2、4、4、7、3、4,其中终端设备数4出现了3次,出现次数最多,则以4个终端设备作为该时间窗内的终端设备数。通过分别统计多个时间段内的终端设备数,并以出现次数最多的终端设备数作为该时间窗内的终端设备数,可以减少偶发情况对于终端设备数计算的影响,更准确的对终端设备数进行计算。
另一方面,在本实施例的具体使用场景中,也可能会由于用户操作原因出现多台设备同时连接同一流量项目的情况,如进行同一个游戏、观看同一视频、参加同一网络会议等。该情况下即使存在多台终端设备,在话单中显示的流量项目也具有连续性。为了进一步提高终端设备数计算的准确度,在计算预设时间窗内的终端设备数时,还可以通过话单中的其它项目所显示的终端设备数量作为参考数值进行验证,如通过UA字段中的设备型号、流量项目中出现的mac地址、uuid字段的值等统计出的终端设备数。在根据上述步骤计算出预设时间窗内的终端设备数的同时,根据话单中其它包含了设备型号的字段统计预设时间窗内的终端数量,以该数量作为对照终端设备数,若对照终端设备数大于计算所得的预设时间窗内的终端设备数,以对照终端设备数作为该预设时间窗的终端设备数。
步骤104:根据时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为。
经过步骤103后,获取到了通过同一入网账户接入网络的终端设备数,若接入网络的终端设备数超过正常设备数阈值,则表明该入网账户存在恶意共享行为。具体的,比较计算所得的终端设备数和预设正常设备数阈值,若计算所得的终端设备数大于预设正常设备数阈值,判断该入网账户存在恶意共享行为。
在本实施例的具体实施方式中,可以根据不同的业务需求采用不同的具体计算方式,利用步骤103中计算获得到的终端设备数,对入网账户是否存在恶意共享进行判断。以下简单列举一些常见的判断方法,在实际使用中可以根据不同地区的用户需求使用不同的判断方法,并设置各判断标准阈值。在实际使用中,正常入网账户可能会因为聚会等场景暂时出现超过预设设备数阈值的多台终端设备接入的情况。为了避免因暂时偶发情况造成的误判,因此可以使用多个时间窗内的终端设备数进行判断。
(1)在某些实施场景中,多数时间窗内的终端设备数都大于正常设备数,可以判定该入网账户存在恶意共享。获取至少两个预设时间窗的终端设备数,计算终端设备数不小于预设设备数上限的预设检测时间窗的个数,若预设检测时间窗的个数不小于预设时间窗数量阈值,判断该入网账户存在恶意共享行为。例如在某个具体实施场景中,获取到三个时间窗内的终端设备数分别为:90、120、150,预设设备数上限为100,预设检测时间窗数量阈值为2,终端设备数超过100的时间窗数量大于预设检测时间窗数量阈值2,则判断该入网账户存在恶意共享行为。在一般实施环境中,预设时间窗数量阈值可以设置为进行判断的总时间窗数量的一半。
(2)在另一些实施场景中,仅有一些时间段存在恶意共享,另一些时间段不存在恶意共享,可以根据终端设备数最大值和最小值之差进行判断,若不同时间窗内的终端设备数之差明显超过合理值,可以判定该入网账户存在恶意共享。计算预设检测时间范围内每个预设时间窗的终端设备数,获取预设时间窗的终端设备数的最大值和最小值;若终端设备数的最大值和最小值之差大于预设设备数之差阈值,且终端设备数最大值大于预设设备数上限,判断该入网账户存在恶意共享行为。例如在某个具体实施场景中,终端设备数的最小值为5,终端设备数的最大值为120,预设设备数之差阈值为100,预设设备数上限为100,终端设备数最大值和最小值之差大于100且最大值大于100,可以判定该入网账户存在恶意共享。
(3)在另一些实施场景中,也可以用存在恶意共享情况的时长作为判断标准。计算预设时间范围内所有终端设备数不小于预设正常设备数阈值的预设时间窗的总时间,若总时间超过预设总时间阈值,判断该入网账户存在恶意共享行为。例如在某个具体实施场景中,预设时间范围为24小时,预设正常设备数阈值为100,预设总时间阈值为10小时,计算24小时内所有时间窗的终端设备数,将每个终端设备数超过100的时间窗的时间相加获得总时间,若时间超过10小时,可以判定该入网账户存在恶意共享。进一步的,使用该方式进行判断时,可以根据实际需要设定不同时长的预设时间窗,如上网高峰期设备数变化较多,可以设置较短时长的时间窗,更准确的获取终端设备数的动态变化,非高峰期设置较长时长的时间窗,减少计算负载。
以上判断方式都使用了多个时间窗的终端设备数作为判断依据,可以更准确全面的获取到入网账户的使用情况,避免偶发情况造成误判。
经过本实施例中提供的步骤101-步骤104后,即可通过话单中流量项目的连续性准确的判定不同场景下入网账户是否存在恶意共享,解决现有计算方式中仅能判定包含设备型号关键字的话单中恶意共享的判定。本发明实施例提供的方案中仅需使用流量项目作为判断依据,只要用户接入宽带就能估算到。同时,由于进行计算的话单可以实时提取,因此在不考虑计算效率和计算资源消耗的情况下,可以实时计算入网账户接入的终端设备数,对入网账户的恶意共享行为进行实时监测。
实施例2:
在某些具体实施方式中,可以通过本实施例具体方法对实施例1中提供的入网账户恶意共享检测的方法进行实现。
在某个具体实施场景中,设置预设时间窗为1分钟,根据步骤101获取到的话单如图11所示,话单中不存在设备型号、mac、uuid等直接显示设备型号的数据,因此无法使用现有的判定方式对恶意共享情况进行检测,而需要使用实施例1中提供的检测方式,根据流量项目的连续性获取终端设备数量进行检测。
根据步骤102,提取话单中host字段的内容的每一项作为通过该入网账户接入网络的一个流量项目。由图11中可以看到,话单中的流量项目字段在一定时间段内先出现了第一种流量项目,再出现第二种流量项目,随后又出现了第一种流量项目,存在两种流量项目交叉出现的情况,可能存在多台设备同时使用的情况,因此需要通过流量项目的连续性进一步计算同时连接的终端设备数,进一步判断是否存在恶意共享行为。
根据步骤103,判断流量项目的连续性。在本实施例图11所示的话单中,在一定时间间隔之内出现了多组连续的流量,因为正常用户习惯可以有先后顺序,因此多组连续且互不交叉的流量项目,可以视为1个设备产生。但是,在该话单中,两组连续流量项目之间还存在与每组连续流量都不相同且不具备逻辑相关性的流量项目,因此可以视为另一个设备。具体的,可以使用步骤301-步骤304中打标签方式对用户流量进行标记,对相同流量的记为同一个标签。
为了进一步准确的判断产生不同流量的设备是否为同一设备,区分同一设备不同时段产生的正常流量项目和多台设备产生的流量项目,可以将1分钟的预设时间窗划分为6个10秒钟的时间段,分别统计每个时间段内的设备数,并以出现次数最多的设备数作为该时间窗内的终端设备数。进一步的,将时间窗划分为多个时间段计算时,为了便于对终端设备数进行统计,也可以将各时间段内的设备数绘制为如图12所示的设备数图表,其中横坐标为时间段节点,纵坐标为终端设备数,通过图表直观的对设备数进行查看和计算。由数据统计和图表可以看出,该时间窗内最大设备数为4,最小设备数为0,出现最多的终端设备数为2,因此将该时间窗内的终端设备数计算为2。
若获取到的话单中的UA字段还存在设备型号信息,或其它字段中还存在mac、uuid字段等可以对设备型号进行辅助判断的信息,可以进一步根据上述信息对可能的终端设备数进行统计,并以根据设备型号信息统计出的终端设备数作为下限。在本实施例的的话单中不存在这些信息,因此直接按照通过流量项目计算出的终端设备数进行判断。
获取到通过入网账户接入网络的终端设备数后,根据步骤104,可以按照不同使用场景的实际需求根据不同的标准对入网账户是否存在恶意共享进行判断,如直接判断终端设备数3是否超过预设正常设备数阈值、判断终端设备数的最大值5是否超过预设设备数上限等。
进一步的,为了进一步提高判断的准确度,可以按照实施例1及本实施例中提供的方法计算多个时间窗的终端设备数,并根据多个时间窗的判断结果综合判定,以提高恶意共享检测的准确性,避免通过单一时间窗判断时遇到偶发性事件造成的误判。
针对不同地区、不同业务内容的用户需求不同,也可以利用步骤103中获取到的终端设备数进行不同类型的判断。例如:得到某一时间段用户数超过100台的入网账户有哪些,或者分析一天某个时段用户接入数的最大值或最小值,或者监测特定可疑的宽带账号的行为,如一天有10小时用户数都超过100台等。
通过本实施例提供的具体场景中的恶意共享检测的方法,可以在无法直接由话单中的信息得到终端设备数的情况下获取到通过同一入网账户接入网络的终端设备数,并对入网账户是否存在恶意共享行为进行判断。
实施例3:
在上述实施例1和实施例2提供的入网账户恶意共享检测的方法的基础上,本发明还提供了一种可用于实现上述方法的入网账户恶意共享检测的方法的装置,如图13所示,是本发明实施例的装置架构示意图。本实施例的入网账户恶意共享检测的装置包括一个或多个处理器21以及存储器22。其中,图13中以一个处理器21为例。
处理器21和存储器22可以通过总线或者其他方式连接,图13中以通过总线连接为例。
存储器22作为一种入网账户恶意共享检测方法非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如实施例1和实施例中的入网账户恶意共享检测方法。处理器21通过运行存储在存储器22中的非易失性软件程序、指令以及模块,从而执行入网账户恶意共享检测的装置的各种功能应用以及数据处理,即实现实施例1的入网账户恶意共享检测的方法。
存储器22可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器22可选包括相对于处理器21远程设置的存储器,这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
程序指令/模块存储在存储器22中,当被一个或者多个处理器21执行时,执行上述实施例1的入网账户恶意共享检测的方法,例如,执行以上描述的图1、图8和图9所示的各个步骤。
本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(Read Only Memory,简写为:ROM)、随机存取存储器(Random AccessMemory,简写为:RAM)、磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种入网账户恶意共享检测的方法,其特征在于:
获取需检测的入网账号接入网络的话单;
解析话单中每一个通过该入网账户接入网络的流量项目,其中,流量项目为该入网账号的流量所访问的网络主机地址;
根据流量项目的连续性计算预设时间窗内的终端设备数,以相同的流量项目作为连续的流量项目,将话单中每一组连续的流量项目视为一个终端设备产生的流量项目;
根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为。
2.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述根据流量项目的连续性计算预设时间窗内的终端设备数,包括:
比较话单中的流量项目是否相同;
统计预设时间窗内连续的流量项目的组数,作为预设时间窗内的终端设备数。
3.根据权利要求2所述的入网账户恶意共享检测的方法,其特征在于,所述比较话单中的流量项目是否相同,包括:
依次比较话单中任两项时间相邻的流量项目是否相同;
若两项时间相邻的流量项目相同,对两项流量项目标记相同的标签;
若两项时间相邻的流量项目不相同,对两项流量项目标记不同的标签;
完成话单中所有流量项目比较后,标记相同标签的所有流量项目为一组相同的流量项目。
4.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述计算预设时间窗内的终端设备数,还包括:
将预设时间窗分割为多个预设时间段,分别计算每个预设时间段内的终端设备数,以所有预设时间段内出现次数最多的终端设备数最多的作为该预设时间窗内的终端设备数。
5.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述计算预设时间窗内的终端设备数,还包括:
统计预设时间窗内话单的UA字段或流量项目中不同设备的数量作为对照终端设备数,若对照终端设备数大于计算所得的预设时间窗内的终端设备数,以对照终端设备数作为该预设时间窗的终端设备数。
6.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,包括:
比较预设时间窗内的终端设备数和预设正常设备数阈值,若终端设备数大于预设正常设备数阈值,判断该入网账户存在恶意共享行为。
7.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,包括:
获取至少两个预设时间窗的终端设备数;
计算终端设备数不小于预设设备数上限的预设时间窗的个数,若预设时间窗的个数不小于预设时间窗数量阈值,判断该入网账户存在恶意共享行为。
8.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,包括:
计算预设检测时间范围内每个预设时间窗的终端设备数,获取预设时间窗的终端设备数的最大值和最小值;
若终端设备数的最大值和最小值之差不小于预设设备数之差阈值,且终端设备数最大值不小于预设设备数上限,判断该入网账户存在恶意共享行为。
9.根据权利要求1所述的入网账户恶意共享检测的方法,其特征在于,所述根据预设时间窗内的终端设备数判断检测的入网账户是否存在恶意共享行为,包括:
计算预设时间范围内所有终端设备数不小于预设正常设备数阈值的预设时间窗的总时间,若总时间超过预设总时间阈值,判断该入网账户存在恶意共享行为。
10.一种入网账户恶意共享检测的装置,其特征在于:
包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储能被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成权利要求1-9中任一项所述的入网账户恶意共享检测的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010874043.8A CN111970175B (zh) | 2020-08-26 | 2020-08-26 | 一种入网账户恶意共享检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010874043.8A CN111970175B (zh) | 2020-08-26 | 2020-08-26 | 一种入网账户恶意共享检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111970175A CN111970175A (zh) | 2020-11-20 |
| CN111970175B true CN111970175B (zh) | 2022-06-21 |
Family
ID=73391424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010874043.8A Active CN111970175B (zh) | 2020-08-26 | 2020-08-26 | 一种入网账户恶意共享检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111970175B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108337652A (zh) * | 2017-01-20 | 2018-07-27 | 中国移动通信集团河南有限公司 | 一种检测流量欺诈的方法及装置 |
| CN108370373A (zh) * | 2016-06-22 | 2018-08-03 | 华为技术有限公司 | 用于检测和防御恶意数据流网络入侵的系统和方法 |
| WO2019199053A1 (ko) * | 2018-04-10 | 2019-10-17 | 애니파이 주식회사 | 데이터 공유 장치 및 방법과, 이를 이용한 광고 서비스 제공 방법 및 그 장치 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866951B (zh) * | 2005-05-20 | 2010-09-22 | 华为技术有限公司 | 在网络中检测共享接入主机的方法及系统 |
| CN102111766B (zh) * | 2011-01-10 | 2015-06-03 | 中兴通讯股份有限公司 | 网络接入方法、装置及系统 |
| CN103763125A (zh) * | 2013-12-27 | 2014-04-30 | 北京集奥聚合科技有限公司 | 运营商网络实际用户数的统计方法和装置 |
| CN104243618B (zh) * | 2014-07-02 | 2018-08-07 | 北京润通丰华科技有限公司 | 一种基于客户端行为识别网络共享的方法和系统 |
| CN111106980B (zh) * | 2019-12-17 | 2021-08-03 | 武汉绿色网络信息服务有限责任公司 | 一种带宽捆绑检测方法和装置 |
| CN111079044B (zh) * | 2019-12-17 | 2021-01-22 | 武汉绿色网络信息服务有限责任公司 | 一种共享检测方法和装置 |
-
2020
- 2020-08-26 CN CN202010874043.8A patent/CN111970175B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108370373A (zh) * | 2016-06-22 | 2018-08-03 | 华为技术有限公司 | 用于检测和防御恶意数据流网络入侵的系统和方法 |
| CN108337652A (zh) * | 2017-01-20 | 2018-07-27 | 中国移动通信集团河南有限公司 | 一种检测流量欺诈的方法及装置 |
| WO2019199053A1 (ko) * | 2018-04-10 | 2019-10-17 | 애니파이 주식회사 | 데이터 공유 장치 및 방법과, 이를 이용한 광고 서비스 제공 방법 및 그 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111970175A (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN105979092A (zh) | 一种异常监控方法及装置 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110798426A (zh) | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 | |
| CN106571933B (zh) | 业务处理方法及装置 | |
| CN110784486A (zh) | 一种工业漏洞扫描方法和系统 | |
| CN109495378A (zh) | 检测异常帐号的方法、装置、服务器及存储介质 | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN113726783A (zh) | 异常ip地址识别方法、装置、电子设备及可读存储介质 | |
| CN106998336B (zh) | 渠道中的用户检测方法和装置 | |
| CN110163013B (zh) | 一种检测敏感信息的方法和设备 | |
| CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| CN111970175B (zh) | 一种入网账户恶意共享检测的方法和装置 | |
| CN111866995B (zh) | 一种基于微信小程序的智能设备配网方法及系统 | |
| CN111064827B (zh) | 基于域名泛解析的代理检测方法、装置、设备及介质 | |
| CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
| CN109120579A (zh) | 恶意域名的检测方法、装置及计算机可读存储介质 | |
| CN107948022B (zh) | 一种对等网络流量的识别方法及识别装置 | |
| CN109429296B (zh) | 用于终端与上网信息关联的方法、装置及存储介质 | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| CN115795100A (zh) | 用户事件处理方法、装置、电子设备及可读存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN111106980B (zh) | 一种带宽捆绑检测方法和装置 | |
| CN115396128A (zh) | 恶意流量检测方法、装置、存储介质及电子设备 | |
| CN110430214A (zh) | 一种代理上网的识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |